La cellule d’accompagnement cybersécurité des structures de santé (ACSS) de l’Agence du numérique en santé (ANS) a publié le 16 mars une alerte signalant que « le coronavirus est utilisé pour réaliser des cyberattaques ». Les cybercriminels tentent en effet d’exploiter la peur liée à la pandémie pour s’infiltrer sur les réseaux informatiques, y compris sur ceux des établissements de santé.
Dans la mesure où ces établissements de santé effectuent des opérations critiques et détiennent des informations vitales à propos des patients, ils ont davantage tendance à payer la rançon, ce qui en fait des cibles de choix pour les cybercriminels. Pour s’en protéger, les hôpitaux doivent accroître leur résistance aux attaques par ransomwares. Cela implique notamment de prendre des mesures pour renforcer leurs défenses et ainsi protéger leurs systèmes, les données des patients et leurs activités.
Maintenir les logiciels à jour
En mai 2017, les souches du ransomware WannaCry ont attaqué des millions d’ordinateurs aux quatre coins du monde, infectant de nombreux appareils en exploitant une vulnérabilité pour laquelle Microsoft avait publié un correctif deux mois plus tôt. Des millions de personnes et d’entreprises n’ont pas appliqué la mise à jour qui les aurait protégées. Plusieurs hôpitaux ont également été touchés par ce logiciel de rançon.
Il est absolument essentiel de procéder à la mise à jour en continu de tous les logiciels et systèmes d’exploitation. Microsoft publie régulièrement des correctifs d’urgence, dont un récemment contre « EternalDarkness », une vulnérabilité critique de Windows 10 affectant un protocole SMB. Utilisé pour partager des fichiers, ce protocole avait déjà été exploité pour diffuser WannaCry il y a trois ans. Microsoft a exhorté les utilisateurs à agir immédiatement pour appliquer la mise à jour, et les établissements de santé doivent absolument prendre cette demande au sérieux.
Contrôler l’accès aux applications
Il est également conseillé aux hôpitaux de suspendre l’accès à tous les services disponibles directement sur Internet. Les administrateurs informatiques doivent établir une liste blanche stricte des fichiers exécutables, de sorte que seules les applications connues et dignes de confiance peuvent être exécutées sur le parc d’ordinateurs de leur établissement.
Former à l’hygiène numérique
De même que les hôpitaux forment leurs employés aux bonnes pratiques en matière d’hygiène sanitaire, une formation et des instructions concernant l’hygiène numérique doivent également être dispensées. À titre d’exemple, le personnel hospitalier doit être sensibilisé aux escroqueries et aux tactiques utilisées par les cybercriminels, dans la mesure où la messagerie électronique demeure l’une des méthodes de transmission les plus courantes. Il est primordial que les employés se méfient des emails provenant d’expéditeurs inconnus, évitent de cliquer sur des liens ou téléchargent des pièces jointes s’ils ne sont pas complètement certains de leur authenticité.
Sauvegarder régulièrement toutes les données importantes
Si les fichiers sont sauvegardés, l’attaque par ransomware perd une grande partie de sa puissance. En effet, les systèmes peuvent être restaurés et les données récupérées. Les documents importants, parmi lesquels les dossiers médicaux, doivent être sauvegardés régulièrement pour que les hôpitaux disposent à tout moment d’une version propre de leurs fichiers au cas où ils seraient chiffrés par des pirates. Il est recommandé de sauvegarder les données à la fois dans le cloud et sur un support physique, par mesure de sécurité. En outre, il est utile de disposer d’une seule image comprenant tous les paramètres par défaut et qui pourra être utilisée pour restaurer un PC dans sa dernière bonne configuration connue.
Que faire en cas d’infection par ransomware ?
Outre les mesures et précautions, il est important de savoir comment procéder en cas d’attaque :
Étape 1 : Isoler immédiatement les appareils infectés. Si un PC fonctionnant sous Windows est attaqué par un ransomware, la première chose à faire consiste à localiser et déconnecter tous les ordinateurs et autres appareils infectés qui sont connectés au réseau, que ce soit en mode filaire ou sans fil. Cette solution empêchera le logiciel de se propager et de prendre en otage d’autres ordinateurs, tablettes ou smartphones.
Au cours de cette procédure, il est également recommandé aux victimes de dissocier tous les périphériques connectés aux appareils reliés au réseau, y compris les disques durs externes. Pour effectuer cette étape, il faut vérifier si l’un de ces produits était connecté au PC infecté. Si c’est le cas, il est nécessaire de contrôler la présence de demandes de rançon.
Étape 2 : Collecter les journaux et réaliser une image forensique. Une fois que la machine est isolée et qu’elle ne peut plus nuire aux autres appareils connectés au réseau, une image forensique du système actif doit être effectuée aux fins d’analyse de suivi. Cette mesure, qui permet de geler l’ensemble des journaux et événements, améliorera considérablement la capacité de l’équipe d’intervention à déterminer l’origine de l’attaque, ainsi que son comportement.
Étape 3 : Identifier le type de ransomware. Ensuite, les victimes doivent découvrir à quelle souche de ransomware elles sont confrontées. Cette information peut aider à trouver une solution. Pour déterminer le type de ransomware présent sur une machine, l’outil Crypto Sheriff de No More Ransom peut être utile. Fourni par le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol, il vérifie les fichiers que l’attaquant a cryptés, ainsi que la note de rançon. S’il reconnaît le cryptage et détient une solution, il proposera un lien pour télécharger le programme de décryptage nécessaire. Il est également possible de rechercher des informations relatives à la variante du ransomware à supprimer sur les forums d’assistance technique et de dépannage pour PC. Même s’il s’agit d’une variante nouvelle, il se peut qu’un fil de discussion propose une solution, ou que des membres du forum y travaillent.
Étape 4 : Supprimer le ransomware. Il est important d’éliminer les logiciels malveillants sous-jacents qui tiennent un PC en otage. Plusieurs options de suppression des ransomwares sont disponibles pour Windows 10, 8 et 7 :
- Vérifier si le ransomware s’est supprimé de lui-même.
- Supprimer le ransomware avec un antivirus.
- Supprimer le programme malveillant manuellement.
- Réinstaller le système à partir d’une image.
Alors que la crise mondiale générée par l’épidémie du COVID-19 suscite des craintes légitimes, il est primordial d’avoir conscience que les cybercriminels cherchent à tirer profit de la situation. Le secteur de la santé est en première ligne et doit à tout prix se protéger des cyber-menaces pour être en mesure d’assurer pleinement ses missions, un enjeu national majeur.
Michal Salat, de chez Avast
Photo : DR
[cc] Breizh-info.com, 2020, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine – V